《零時差攻擊》當有攻擊者要入侵你的電腦，不管你裝了什麼樣的防毒軟體都沒用？

資安攻防的兩個零—零時差與零信任

文／吳其勳（iThome總編輯、臺灣資安大會主席）

十年前我採訪資安新聞時，曾有一位白帽駭客專家對我說：「如果攻擊者真要入侵你的電腦，不管你裝了什麼樣的防毒軟體都沒有用，裝了等於沒裝。」

我原以為這只是他藉機嘲諷防毒軟體廠商的一句玩笑話，畢竟當時一般個人電腦的資安防護，主要就是靠防毒軟體過濾電腦病毒，以避免電腦中毒。所以我很納悶地問：「裝了防毒軟體也無效！難道可以不採取任何防護措施嗎？」

這位白帽駭客進一步說道：「如果中國網軍鎖定要入侵你的電腦，他們會利用世人都還不知道的軟體漏洞，開發出連防毒軟體都無法辨識的新型攻擊程式，直接就穿越防毒軟體，堂而皇之的入侵電腦。」

後來我才逐漸理解，他的本意並非要我解除防毒軟體，而是提醒零時差漏洞這種資安威脅的存在與其嚴重性。

●什麼是零時差漏洞？

所謂的零時差漏洞，是指軟體存在可被利用的安全漏洞，然而多數人、包括該軟體開發者與供應商卻對漏洞的存在一無所悉。從零時差漏洞的生命週期來看，一開始軟體開發者寫好了程式，而程式碼存在一些錯誤（這其實是尋常的事）；然而這些錯誤並不影響程式運作，因此連程式開發者自己都未察覺，可想而知，使用者更不會知道這些漏洞的存在。

但是，可能在某一天，這個軟體錯誤被人發現了，心存善意的發現者，會通知軟體開發者，以提供使用者修補更新程式。但若是遇到心懷不軌的人，例如別有居心的網軍、黑帽駭客或網路犯罪組織，他們就可能投入研究該漏洞是否有機可乘，一旦發現利用價值很高，例如可藉此入侵大多數人使用的微軟視窗作業系統或蘋果iOS作業系統，駭客便會進一步設計攻擊程式，利用這個漏洞入侵電腦。而只要這個漏洞尚未曝光，網路攻擊便能持續進行，這就是零時差漏洞

●恐將引發戰爭的核彈級武器

駭客擁有零時差漏洞就可以神不知鬼不覺地進出電腦，控制被駭的電腦，可能長期潛伏在電腦裏監聽使用者的一舉一動、持續竊取電腦裏的機密資料，或是挾持電腦作為發動其它攻擊的傀儡工具，甚至是綁架檔案進行勒索，或摧毀整臺電腦的檔案。而這一切攻擊，都要等到有人也發現了這個程式漏洞，提報給軟體開發者，待修補程式釋出後，針對這個漏洞的攻擊才會失效。然而若使用者不予理會或不知道要安裝修補程式，那麼駭客的攻擊仍然會繼續得逞。

隨著最近幾年資安攻擊事件層出不窮，攻擊手法也日益詭譎多變，我才逐漸理解十年前這位白帽駭客沒有直接點明的事：利用軟體漏洞可以發展出網路武器，而網路武器庫裏的核彈級武器，就是零時差漏洞。

網路戰爭的型態有別於傳統戰爭，傳統戰爭的攻擊武器主要是破壞實體，但網路攻擊武器卻是利用軟體漏洞入侵與控制電腦，進而控制與破壞仰賴電腦運作的設備與系統。現今我們生活周遭，從食衣住行育樂到國防軍事，從宇宙的衛星太空船到人手一機的智慧型手機，無一不是依靠晶片、軟體與網路在運行，而這些都是網路武器可以悄然無聲攻擊的目標。近年來，天天目睹網路攻擊與地下漏洞交易的資安專家，紛紛敲響警鐘：網路戰爭即將觸發第三次世界大戰。然而就如同我過往的經驗一樣，當我們每天尚能如常上網、聊天、追劇，未曾親身感受到網路攻擊的威脅，其實很難想像零時差漏洞會對未來的生活造成多大的影響。

值此之際，《零時差攻擊》一書的問世，以第一手調查報導揭露零時差漏洞的地下經濟，帶我們正視零時差攻擊可能對世界造成不可逆轉的衝擊，就顯得格外重要。

●遵奉零信任原則

紐約時報資深資安記者妮可．柏勒斯懷著她對零時差漏洞的好奇，發揮記者追查真相的天性，以長達七年的時間追蹤零時差漏洞市場。期間她採訪超過三百位專家學者、駭客、零時差漏洞掮客與國安官員等，更走遍全世界好幾個國家，一點一滴挖掘出原本難以窺視的零時差地下經濟，不僅讓世人得以一窺神祕的零時差漏洞市場，更帶領讀者探究許多國家為了掌握網路戰場的致勝優勢，而不惜斥資收購與儲備零時差漏洞的現象。這種種作為到底真正保障了國家安全，還是反而助長零時差攻擊走向更偏激的道路？

此外，本書內容的驚悚程度，絕對有助於喚醒大眾對於零時差漏洞日漸失控的警覺，然而驚嚇之餘不免感嘆，難道我們的未來只能任由零時差攻擊擺布嗎？

借鏡此刻全球對抗COVID-19的經驗，會發現零時差漏洞與新冠病毒有其共通之處。在疫苗與治療藥物尚未問世前，COVID-19如同人類的零時差病毒，那麼當時為何臺灣能夠成功抵禦病毒入侵呢？其中一個重要關鍵，就是持續落實勤洗手、戴口罩、保持社交距離，設下一道道防線。這樣的防疫觀念其實與資安業界近來積極推動的零信任（Zero Trust）理念「絕不信任，一律驗證」不謀而合。零信任資安不預設信任，針對每個用戶、每個裝置的每一次行為，唯有經過驗證，才賦予適當權限。透過縮小信任空間、增加驗證頻率，以及適時適當的授權。若我們逐步落實零信任的精神，或許就可以逐漸削弱零時差攻擊的火力，有朝一日成功抑制零時差漏洞。

資安一直被視為專業技術領域，資安書籍也往往因為技術名詞令大眾卻步。本書作者以淺顯易懂的文字與第一人稱敘述方式撰寫，雖然有些描述看在資安專家眼裏或許不夠精準，卻更能吸引一般大眾。本書將帶領讀者一步步深入不為人知的零時差市場，一頁頁揭開零時差攻擊的神祕面紗，讓讀者宛如置身諜報電影，在不知不覺中親近資安議題，進而喚起其資安意識。